Facebook Bug επέτρεψε σε hackers, να διαγράψουν οποιοδήποτε βίντεο
Ένας ερευνητής ασφάλειας έχει ανακαλύψει ένα κρίσιμο Bug στο Facebook, που θα μπορούσε να επιτρέψει σε ένα δυναμικό hacker να διαγράψει οποιοδήποτε βίντεο δημοσιεύτηκε στην ιστοσελίδα κοινωνικής δικτύωσης, από οποιονδήποτε χρήστη. Το κρίσιμο σφάλμα ανακαλύφθηκε από τον Dan Melamed τον Ιούνιο το 2016, όταν ανακάλυψε ότι θα μπορούσε εξ αποστάσεως να διαγράψει οποιοδήποτε βίντεο στο Facebook, χωρίς να χρειάζεται την άδεια του χρήστη ή ταυτότητα στο Facebook. Ανακάλυψε ότι θα μπορούσε επίσης να απενεργοποιήσει στο σχολιασμό του βίντεο χρησιμοποιώντας το ίδιο σφάλμα.
Πώς λειτουργεί αυτό το σφάλμα:
Το σφάλμα που ανακαλύφθηκε από τον Melamed, είναι παρόμοιο με ένα άλλο bug που δημοσιοποιήθηκε από έναν ερευνητή ασφάλειας, τον Pranav Hivarekar. Ο Hivarekar είχε ανακαλύψει έναν τρόπο για να συνδέσει το βίντεο του θύματος σε ένα σχόλιο, έτσι ώστε να το διαγράψει.
Για να εκμεταλλευτεί αυτήν την ευπάθεια, ο Melamed δημιούργησε την πρώτη δημόσια εκδήλωση στη σελίδα του στο Facebook και ανέβασε ένα βίντεο στη Συζήτηση της εκδήλωσης. Κατά τη μεταφόρτωση του βίντεο, ο Melamed παραποίησε την αίτηση POST και αντικατέστησε την ID στο βίντεο του με την ID οποιουδήποτε άλλου βίντεο στην κοινωνική πλατφόρμα μέσων μαζικής ενημέρωσης. Σε αυτή την περίπτωση, μιλάμε για το βίντεο του θύματος που ήθελε να διαγράψει. Το Facebook ανταποκρίθηκε στο αίτημα του Melamed με ένα σφάλμα διακομιστή, δηλαδή “Αυτό το περιεχόμενο δεν είναι πλέον διαθέσιμο”, αλλά το νέο βίντεο δημοσιεύτηκε με επιτυχία.
Ο Melamed στη συνέχεια, ανακάλυψε ότι όταν διέγραψε την εκδήλωση του, ολόκληρο το βίντεο που δημοσιεύτηκε από το άγνωστο θύμα, επίσης διαγράφηκε.
Επίσης όπως αναφέρει, ανακάλυψε έναν τρόπο για να απενεργοποιεί το σχολιασμό σε οποιοδήποτε βίντεο, λέγοντας ότι υπάρχει ένα τμήμα drop-down, όπου μπορείτε να βρείτε την επιλογή “Turn off commenting”, η οποία σας επιτρέπει να απενεργοποιήσετε τα σχόλια στο βίντεο της επιλογής σας. Ο Melamed έκανε μια καταγραφή για το πώς λειτουργεί το bug και το δημοσίευσε στο blog του. Το Facebook αναγνώρισε το σφάλμα που ανακάλυψε ως κρίσιμο και τον αντάμειψε με $ 10.000 που το ανέφερε. Το Facebook έχει επίσης επιδιορθώσει το σφάλμα, ώστε να μην υπάρξει περεταίρω εκμετάλλευσή του.
